<div dir="ltr">Hi All,<div>I'm looking into testing a solution to replace a setup involving Cisco ASA's providing VPN connectivity. The main requirement that has to be kept is having VPN failover (Active/Standy). On the head end ASA I define a peer list like "crypto map outside_map 1 set peer 100.1.1.1 200.2.2.2" where it will take a list of peers. If dead peer detection reports a peer as down, it will connect to the next peer. </div><div><br></div><div>What is the most elegant way to configure similar functionality with Strongswan? For an example setup, a remote site would have two VPN gateways (each with own internet connection) with a common subnet behind them (also using SNAT here). I have the setup working so long as there is just one remote peer up at a time. </div><div><br></div><div>From reviewing list emails and documentation, I understand the linux kernel can't handle matching IPsec policies at the head end. I've done a few tests using marks but I'm not sure that's the right method here. I've considered looking into making a custom updown script but wanted to see if there was anything else available before I started down that path. Also, I can't use clusterIP at the remote sites because the VPN gateways won't always be on the same networks (won't be able to reach each other directly).</div><div><br></div><div>I have attached a diagram showing a lab setup using Centos 7 machines. Note in the diagram the lab setup has a layer 2 network between sites, although the end result would involve different layer 3 paths between sites. Image also available at <a href="http://i.imgur.com/oAOyxOV.jpg">http://i.imgur.com/oAOyxOV.jpg</a></div><div><br></div><div>Thank you for any input and advice!</div><div><br></div><div><div>conn %default</div><div>    keyexchange=ikev2</div><div>    ike=aes128-sha1-modp1024!</div><div>    esp=aes128-sha1-modp1024!</div><div>    type=tunnel</div><div>    authby=secret</div><div>    mobike=no</div><div>    dpdaction=clear</div><div>    dpddelay=10s</div><div>    dpdtimeout=30s</div><div><br></div><div>conn PRI-RTR</div><div>    leftid=192.168.56.1</div><div>    left=192.168.56.1</div><div>    leftsubnet=<a href="http://10.0.0.0/24">10.0.0.0/24</a></div><div>    right=192.168.56.10</div><div>    rightsubnet=<a href="http://10.80.80.0/24">10.80.80.0/24</a></div><div>    auto=start</div><div><br></div><div>conn SEC-RTR</div><div>    leftid=192.168.56.1</div><div>    left=192.168.56.1</div><div>    leftsubnet=<a href="http://10.0.0.0/24">10.0.0.0/24</a></div><div>    right=192.168.56.20</div><div>    rightsubnet=<a href="http://10.80.80.0/24">10.80.80.0/24</a></div><div>    auto=start</div></div><div><br></div></div>